俄乌战争中的网络战：关键基础设施攻击与社会混乱

hwyzw

    《电网范围建设趋势：全架构仿真+数字孪生》

    作者：aqniu 日期：2023 年 6 月 27 日 浏览次数：1,789

    在当前已演变为持久战的俄乌战争中，通讯、交通、能源供应等国家关键基础设施始终是双方重点攻击的目标。同时，“网络战”作为第一战场，也以关键基础设施为主阵地。 ，不断以相对较轻的成本制造出比想象中更广泛的破坏和社会混乱，并在俄罗斯与乌克兰的博弈中发挥着重要作用。

    事实上，俄罗斯和乌克兰之间的网络战争至少可以追溯到10年前，其中“乌克兰电网事件”最为经典。 2015年12月23日，乌克兰一半地区停电，持续数小时，影响140万居民。 。与之前的外部损坏或电路故障不同，这是首次有记录的针对国家基础设施网络的攻击，至今仍被广泛提及和引用。

    本次事件中，俄罗斯APT组织利用钓鱼邮件向乌克兰电力公司P Plant（全称o Joint Stock）投放“”（恶意软件），进而获得变电站断路器控制权，导致近60个变电站陷入瘫痪。离线。通过数据破坏等手段，无法及时发现并修复受害系统。

    此后，不仅是乌克兰电网，全球范围内针对电力及相关能源基础设施的网络攻击也层出不穷。据统计，它占网络威胁事件的30%以上。究其原因，一方面，电力系统规模极其庞大，网络连接、运行方式多样，因此存在很多“机会”；另一方面，入侵电力系统是黑客组织的高价值目标，因为电力与人们的生产生活密切相关。联系紧密，攻击造成的损失往往非常巨大。想象一下，当黑暗入侵时，社会运转的齿轮戛然而止，生产、交通、生活设施瘫痪……后果一定是灾难性的。

    建设电力网络靶场的必要性：提高以人为本的网络对抗能力

    对于电力系统网络安全，人们看到的只是冰山一角，因为黑客的行动往往远远早于人们的感知。 2015年，也就是乌克兰电网事件爆发前半年，“钓鱼”行为就已经开始，而再往前追溯，对目标电网的检测和入侵策划应该更早，所以危机可能已经存在并且只有在“它”需要的时候才会爆发。

    完善病毒查杀体系，在服务器和网络边界部署防火墙、入侵检测、漏扫系统，加强人员规范化管理，是电力系统网络安全常用的防护手段，但“高枕无忧”仍是常态。不可能。

    资深网络安全技术专家、网络射击场厂商掌霸网络安全创始人王恒认为：“安全产品和防御软件只能起到辅助作用，无法取代技术人员在网络对抗中的地位。安全企业所做的其实就是将自己的核心安全技术能力融入到自己的产品中，然后产品将“能力”转移到企业身上，但实际情况是，由于企业端人员的短板，导致安全企业的安全问题越来越严重。安全产品传递的“能力”将显着增强减少，远远不能支撑他们抵御专业APT组织的攻击，归根结底，网络对抗的胜负还是取决于技术人员的能力。”

    技术人员要想提高攻防能力，需要积累大量的实践经验。这就是网络射击场产品的核心价值。它可以直接将安全能力“转移”给企业侧防护人员，即：结合人、攻防工具和实战场景，通过网络范围内的实战提高人的技术能力，从而构建坚实的安全为企业提供保障能力。

    因此，建设电力靶场，加强实战训练，培养具有电力网络安全对策的专业人才，对于电力系统网络安全乃至国家网络安全至关重要。

    近年来，我国也陆续出台了与电网安全相关的管理措施和标准，其中强调了电力系统网络应急能力、事件应急响应、人才培训等建设。今年年初，国家能源局综合司印发《2023年电力安全监管重点任务》，其中也指出，要加强网络安全态势感知能力建设，推动建设国家级电网安全靶场，组织年度攻防演练。可见，围绕电力系统安全人才能力培养的网络靶场建设已经提上日程。

    电力网络靶场典型应用场景：攻防技能训练与测试评估

   

    网络系列是提供网络仿真环境，集成网络攻防、测试评估技术，支持真实业务的攻防技能培训和测试评估需求的软件系统。基于网络靶场的高仿真环境模拟还衍生出了欺骗防御、安全策略有效性验证等应用方向。

    攻防技能训练还包括演练、比赛、应急演练等。其中，攻方训练为演练提供模拟目标环境，提高攻击技术，练习各种攻击战术和战术；防务侧训练是指在靶场再现与真实业务环境高度吻合的模拟场景，联动各业务部门进行应急处置演练，不断提升企业安全运维团队的技术能力。同时，人员在靶场的动作数据将被全程记录，为后续评估、回顾和持续训练提供依据。

    值得一提的是，网络射击场再现了一个安全、隔离的模拟环境，其中的任何攻防行为都不会损害真实业务的连续性。这一特点也导致了“测试评估”需求的兴起，并逐渐成为网络射击场的主要功能之一。通过在网络范围内构建流量生成设备，可以测试各种安全工具的性能和功能指标，从而支持系统和设备上线前的安全检测和网络访问风险评估。建设一个值得信赖、满足评测场景功能的国家级网络安全射击场，可以很好地解决依赖进口检测软件和检测环境的现状。对于电力系统等对业务连续性要求极高的重要基础设施来说具有重要意义。

    在靶场开展技术培训和测试考核，对于电力行业来说，重点是用于培训和测试的虚拟环境，必须与实际电力生产网络和设备环境高度吻合，才能保证技术人员在实际生产环境中可以、可以随意行动。同样，高度的模拟也是保证评估结果有效性的最大前提。

    电力系统网络范围建设难点

    在国家关键基础设施覆盖的行业中，电力行业的网络范围可以说是最难建设的，主要体现在以下几个维度：

    场景构建难度大。电力系统被称为“最复杂的人造工程”之一。电网由大量分布广泛的专有组件组成。这些组件依靠网络形成复杂的关系网络，结构和功能极其复杂。此外，电网涉及许多专有的工艺节点，电网系统及其设备环境的仿真对仿真技术来说是很大的考验。目前，不少传统网络靶场依赖国外的底层云计算架构，极大影响定制化程度，更有针对性地复制电力系统专有网络环境和设备环境。

    成本控制困难。传统射击场习惯于复制微型装备模型，实现专有工艺节点的“1:1”复制。这种方式被业界视为“形式重于内容”，导致大量的物理空间被消耗。占用，加上硬件采购和运营人员的投入，导致整体范围建设成本直线上升。网络靶场经常进行的攻防测试具有极高的危险性。这些设备一旦损坏，很难在有限的时间内恢复。

    内容运营难度大。当再现接近真实生产环境的模拟场景时，靶场接下来考验的是内容构建和运营能力，即如何更好地完成攻防训练和考核目标，包括攻防双向训练。防御能力。人员能力与岗位匹配的量化评估、业务连续性目标、个性化态势呈现等都是当代网络系列产品建设过程中需要不断完善的重要环节。

    随着网络仿真技术的创新，电力系统网络范围建设的痛点正逐渐被技术攻克。例如，新兴的网络范围公司掌霸网络安全就放弃了传统的云计算底层架构，自主开发了一套原生的网络范围专用引擎用于模拟服务。通过在电力行业的实践，解决了场景建设和成本控制的问题。和操作困难。

    以下是丈八网安电力系统网络靶场的实践过程以及基于实践的行业发展趋势分析。

    电力系统网络靶场建设实践

    丈八网络安全旗下网络安全攻防研究团队Snake Labs依托原生靶场平台“天网领域”，高度还原了2015年乌克兰电网攻击事件中电力公司“o Joint Stock”的网络环境。

    该场景模拟构建了电力企业外部网络、电力企业内部网络、电力控制网络三部分。外部网络包含大量的企业外部应用和外部服务。企业网络模拟内网办公主机、数据中心、呼叫中心。中心、VPN服务器、办公区、域控区；电力控制网络中模拟了HMI、PLC、RTU和各种IO单元。

    同时，场景还构建了以电为基础的发电、变配电、用电的流程模拟，包括虚拟发电机、变压器、断路器设备、继电保护设备、开关设备等，并使用数字孪生技术来模拟各种传感器。单元。在控制层面，通过靶场平台模拟上位机、下位机以及各种控制系统，包括HMI、SCADA、PLC等。

   

    整个场景的再现充分利用了《火天网域》原生网络范围的多域NFV适配技术，包括防火墙、路由器、交换机、监控设备等网络和安全设备的适配；涉及数字孪生仿真技术，包括S7、DNP3、PDU、IO单元等工控协议等重要环节；虚拟化技术，包括上位机、下位机、VPN、跳板机、AD域等。

    基于对事件中电厂网络和设备环境的高度真实还原，再现了整个攻击环节：

    在这个工控/电力系统网络范围的建设和应用实践中，Snake Labs将整个“攻击事件”配置为决策行动链，进而构建技战术模型，形成典型的攻防行动，从而训练人员的实际攻防能力。 、决策能力等。类似的做法还可以有效检验整个电力系统的安全性、有效性以及需要关注的环境节点。

    电力/工控系统网络安全范围发展趋势

    事实上，网络系列产品在任何行业的应用，其核心能力和前行趋势都是围绕“仿真”展开的。

    在仿真内容方面，在构建工业控制/电力系统的网络范围时，首先要考虑企业的实际生产情况，进行全架构仿真。

    在ISA-95企业系统与控制系统集成国际标准中，信息系统架构分为五层，从第0层到第4层：现场层（生产层）、控制层、操作层、管理层和企业层。层。层数，攻击行为一般从第4层一层层渗透到第0层，因此单独模拟某一层是没有意义的。网络范围的全架构模拟就是模拟企业各层的设备和组网情况。

    在丈八网安电功率靶场实际案例中，Snake Labs在火天网晶靶场平台上基于P厂整体情况进行了全架构模拟。例如，钓鱼邮件攻击的目标位于管理层，被攻击的SCADA系统位于操作层，最终直接影响控制层和现场层。

    从模拟技术和方法上来说，做全架构模拟，意味着场景可能会非常“宏大”。如前所述，再现了传统射击场模型的微缩版。虽然很多现场层面的工控物理设备都进行了形式上的还原，但还原后的“模型”占地大、成本高、且不可重复利用。更符合发展趋势和企业需求的方式是通过数字建模、外围仿真、虚实组网等技术来还原重要流程和环节。通过仿真平台中的“蓝图”，您可以随时创建它们。重用和切换“场景”。

    比如复制P厂的案例，因为涉及到专用设备，丈八网安通过70%的虚拟模拟和30%的物理设备接入，完成了整个场景的搭建。张霸网络安全CEO王恒认为，随着数字孪生技术的发展，网络射击场“虚实结合”的模拟方式将逐步走向纯虚拟模拟，轻量化、敏捷化将成为主旋律的产业发展。

    网络范围技术的快速发展也在推动其在更多应用场景的实践，比如前面提到的测试评估场景。近年来，美国国防部持续推进“左移”战略，在采办项目阶段主要利用靶场进行评估，目的是“避免在研制寿命末期进行高成本整合”循环。”工业控制/电力系统类似需求场景的需求逐渐增多。由于确保“生产连续性”的高度优先目标，许多传统工业控制系统的数字化进展缓慢。系统升级或添加新的外部设备。当时无法保证制作不中断，在线射击场的评测场景成为打破局面的关键。

    张霸网络安全创始人王恒表示：“提供接近真实生产网络的模拟测试环境，对整机、固件、系统软件、应用软件进行安全测试环境，验证安全性同时提供可测量、可视化的评估结论，对于工业控制领域尤其是电力行业的数字化升级来说是一个非常有吸引力的解决方案。”

    综上所述，网络靶场看上去并不是一个“安全”产品，而是与“安全”紧密相连。虽然目前只是网络安全行业的一个细分领域，但所涉及的核心虚拟仿真技术却充满想象空间。巨大的应用空间，相信在不久的将来，网络射击场将会刷新它的定义，成为人们生产生活中不可或缺的工具。